FRAMEWORK PARA LA ENTREGA DE REPORTES DE TEST DE PENETRACIÓN A APLICACIONES WEB

Abstract

Con el aumento de los ataques cibernéticos de hoy en día, es importante para las empresas e instituciones evaluar el nivel de protección que tienen sus sistemas informáticos. Para realizar esta evaluación se requiere realizar un test de penetración altamente técnico y especializado. Esta evaluación debe ser comprensible por el cliente para poder priorizar y diseñar una correcta estrategia de mitigación. Este marco de trabajo (desde ahora Framework) persigue apoyar al cliente a entender de mejor forma los entregables de estas evaluaciones y al profesional orientarlo a elaborar estos documentos.Para realizar este framework se consideraron múltiples propuestas de otras entidades y se realizaron entrevistas con profesionales del área. Como resultado, el framework tuvo una excelente aceptación por parte de los profesionales e incluso fue validado con un cliente real.Dentro de este documento, podrá encontrar el estado del arte de otras propuestas buscando el mismo objetivo, un marco teórico con el vocabulario técnico y una definición de las secciones que debe contener un informe técnico y ejecutivo. En la sección de anexos se encuentra un informe técnico y ejecutivo de demostración.

Today, cyber-attacks are more common than ever and for companies it's important to assess their level of protection against them. To do this task, it's mandatory to perform highly technical and specialized security assessments. This assessment must be understandable by the clients to be able to prioritize and design mitigation plans. This framework seeks to support the client to better understand the deliverables of these assessments and to guide the professional to prepare these documents.To develop this framework, multiple proposal from different associations were analyzed and several interviews with security professionals were performed. As a result, the framework was very successful in its objectives by the professionals and it was even validated with a real client.Inside this document, you can find the State of Art of different proposals seeking the same objective, a theorical framework with technical vocabulary and a definition of the sections that a technical and executive reports must contain. On the annexed section you could find a demonstration of a technical report and executive report.